核安全的简要历史和核安全的简要历史和若干基本概念若干基本概念汤 搏汤 搏

20132013 年年 1010 月月

序 言序 言 “他们说航海有危险，但实际 “他们说航海有危险，但实际上生活中总是充满危险。他们不上生活中总是充满危险。他们不懂得船，所以他们不懂得航懂得船，所以他们不懂得航海。”海。” — — 独自驾帆船环球航海独自驾帆船环球航海的的 1616 岁荷兰小姑娘劳拉岁荷兰小姑娘劳拉 ··德克尔德克尔

一、安全的基本概念一、安全的基本概念 1.1. 安全是人类永恒的问题安全是人类永恒的问题 自人类诞生以来，人类就一直面临着安 自人类诞生以来，人类就一直面临着安全问题。远古的人类面临的是食物短缺、全问题。远古的人类面临的是食物短缺、野兽和疾病威胁等野兽和疾病威胁等自然自然灾害灾害，，近代人类近代人类又面临着战争又面临着战争、环境问题等、环境问题等附加人为灾附加人为灾害。未来的人类是否会考虑小行星撞击害。未来的人类是否会考虑小行星撞击以及其它现在未知的威胁？以及其它现在未知的威胁？ 2.2. 安全是一个相对的概念安全是一个相对的概念 既然人类要永恒面对安全问题，则安 既然人类要永恒面对安全问题，则安

全一定是一个相对的概念，而绝对的安全一定是一个相对的概念，而绝对的安全是不存在的。全是不存在的。 衡量一件事情是否安全，只能放在其所 衡量一件事情是否安全，只能放在其所处环境中，与其它事情比较才有意义。处环境中，与其它事情比较才有意义。孤立地讨论一件事情的安全与否无法得孤立地讨论一件事情的安全与否无法得出有意义的结论。出有意义的结论。 3.3. 安全是一个变化的概念安全是一个变化的概念 随着人类所处环境的变化，人们对一件 随着人类所处环境的变化，人们对一件事情的安全评判也会发生变化。如处于事情的安全评判也会发生变化。如处于饥饿状态的人更多地考虑的是食物的获饥饿状态的人更多地考虑的是食物的获得，而不是食物的卫生。现在的人类得，而不是食物的卫生。现在的人类

也不会更多地考虑小行星的撞击，但未也不会更多地考虑小行星的撞击，但未来很可能会。来很可能会。 4.4. 需要为安全建立度量需要为安全建立度量 为了比较不同事情的安全水平，一定要 为了比较不同事情的安全水平，一定要建立一个安全的度量。建立一个安全的度量。 如果一件事情的不利后果已发生，我们 如果一件事情的不利后果已发生，我们将其称为“灾难”。当然灾难之间是可将其称为“灾难”。当然灾难之间是可以比较的，但存在的问题是仅仅考虑灾以比较的，但存在的问题是仅仅考虑灾难的话，人类的生活将是悲观的。如已难的话，人类的生活将是悲观的。如已知的约知的约 65006500 万年前的小行星撞击导致万年前的小行星撞击导致了包括恐龙在内的大多数生物灭绝，未了包括恐龙在内的大多数生物灭绝，未来来

不能排除发生类似的撞击，那么人类的不能排除发生类似的撞击，那么人类的生活还有何意义呢？生活还有何意义呢？ 当然我们直观地意识到虽然撞击后果很 当然我们直观地意识到虽然撞击后果很严重，但可能性很低。这样我们就可以严重，但可能性很低。这样我们就可以看到看到，，我们通常考虑安全是从后果和可我们通常考虑安全是从后果和可能性两方面考虑的。能性两方面考虑的。 我们将一件事情可能的不利后果和发生 我们将一件事情可能的不利后果和发生概率的乘积称为“风险”。科学界大多概率的乘积称为“风险”。科学界大多数同意将风险作为安全的度量指标。数同意将风险作为安全的度量指标。 核安全是所有安全问题的组成部分，也 核安全是所有安全问题的组成部分，也必须按照同样的方式思考问题。必须按照同样的方式思考问题。

5.5. 安全是控制风险而不是消除风险安全是控制风险而不是消除风险 既然不存在绝对安全，则安全一定是将 既然不存在绝对安全，则安全一定是将风险控制在可接受程度，而不是彻底消风险控制在可接受程度，而不是彻底消除风险。除风险。 还必须注意到的是“凡事有一利则有一 还必须注意到的是“凡事有一利则有一弊”。弊”。 “一件事情带给我们的利益足够大，“一件事情带给我们的利益足够大，而其代价可承受，我们则认为该件而其代价可承受，我们则认为该件事情是安全的”。事情是安全的”。 “安全是利益和代价的平衡”。 “安全是利益和代价的平衡”。

二、核安全的简要历史二、核安全的简要历史 1.SCRAM-1.SCRAM- 防止链式反应失控防止链式反应失控 在建设世界上第一座反应堆芝加哥 在建设世界上第一座反应堆芝加哥 11 号号时，费米等核物理学家担心的是一旦链时，费米等核物理学家担心的是一旦链式反应被触发，能否得到控制。所以反式反应被触发，能否得到控制。所以反应堆设置了两套自动控制和一套手动控应堆设置了两套自动控制和一套手动控制系统，同时设置了一个安全控制棒斧制系统，同时设置了一个安全控制棒斧头人（头人（ Safety Control Rod Axe Man, Safety Control Rod Axe Man, SCRAMSCRAM ），时刻准备砍断吊挂着安全），时刻准备砍断吊挂着安全控制棒的绳索，以“防止链式反应失控制棒的绳索，以“防止链式反应失控”。控”。

2.2. 设计裕度设计裕度 -- 纵深防御概念的起源纵深防御概念的起源 在芝加哥在芝加哥 11 号建设时，位于汉福特的号建设时，位于汉福特的军用生产堆也在紧张建设过程中。军用军用生产堆也在紧张建设过程中。军用生产堆的建设是由杜邦公司负责的。虽生产堆的建设是由杜邦公司负责的。虽然核物理学家们对自己的计算都很有信然核物理学家们对自己的计算都很有信心，但承建反应堆的化学工程师们则根心，但承建反应堆的化学工程师们则根据工业经验表示质疑，坚持在工程中保据工业经验表示质疑，坚持在工程中保留设计裕度，采用冗余等手段，这被视留设计裕度，采用冗余等手段，这被视为“纵深防御”概念的起源。为“纵深防御”概念的起源。

3.3. 最坏的可想象事故最坏的可想象事故 -- 远距离厂址政策远距离厂址政策 在早期的研究堆和生产堆主要服务于在早期的研究堆和生产堆主要服务于军事用途，且主要位于偏远地区的状况军事用途，且主要位于偏远地区的状况下，为保证公众安全，核安全管理采取下，为保证公众安全，核安全管理采取的是考虑“最坏的可想象事故”，即全的是考虑“最坏的可想象事故”，即全堆芯熔化，并且不考虑任何包容来评价堆芯熔化，并且不考虑任何包容来评价所需要的禁区半径。所需要的禁区半径。 AECAEC 推荐的禁区推荐的禁区半径是：半径是： RR （（milemile）） =0.01×[=0.01×[ 反应堆堆芯反应堆堆芯热功率（热功率（ KwKw）） ]]0.50.5 。。

这个公式被称为这个公式被称为““指数原则指数原则””。。 毫无疑问，为满足指数原则，厂址必毫无疑问，为满足指数原则，厂址必须选择在远离居民区的地方，所以这时须选择在远离居民区的地方，所以这时的核安全管理又称为的核安全管理又称为““远距离厂址政远距离厂址政策策””（（ remote sitremote sitinging ）。）。

4.4. 安全壳安全壳 -- 工程安全设施工程安全设施 19521952 年，美国要在离纽约州圣莱克年，美国要在离纽约州圣莱克迪镇迪镇 1919 英里的克诺斯原子能实验室建英里的克诺斯原子能实验室建设一座潜艇用原型钠冷反应堆，这不能设一座潜艇用原型钠冷反应堆，这不能够满足远距离厂址概念。因此反应堆采够满足远距离厂址概念。因此反应堆采用了球型钢制用了球型钢制安全壳作为安全措施，美安全壳作为安全措施，美国原委会接受了这一做法，但此时仍然国原委会接受了这一做法，但此时仍然不将这样的措施作为距离隔离概念的有不将这样的措施作为距离隔离概念的有效替代。由于这是采用“工程措施”解效替代。由于这是采用“工程措施”解决“安全问题”，因而产生了一个术语决“安全问题”，因而产生了一个术语“工程安全设施”。“工程安全设施”。

5.5. 可信事故可信事故 -- 设计基准事故的基础设计基准事故的基础 19531953 年代，美国开始考虑核电建设。年代，美国开始考虑核电建设。即使考虑了安全壳这样的“工程安全设即使考虑了安全壳这样的“工程安全设施”，后果仍然不能承受（施”，后果仍然不能承受（ AECAEC 语：语：“除了离人口中心几百英里的地方，否则“除了离人口中心几百英里的地方，否则无法选到核电厂址），此时无法选到核电厂址），此时 AECAEC （原委（原委会）开始用“可信事故”的概念替代“最会）开始用“可信事故”的概念替代“最坏的可想象事故”。坏的可想象事故”。 可信事故的选择基于可信事故的选择基于 AECAEC 专家的判断，专家的判断，但一个基本前提是只考虑单一设备的损坏，但一个基本前提是只考虑单一设备的损坏，如某根管道的破裂或某个泵的故障如某根管道的破裂或某个泵的故障。。 “ ”对于某些人质疑的 多设备故障 问题，“ ”对于某些人质疑的 多设备故障 问题，

AECAEC 只简单地解释“我们认为不可信”只简单地解释“我们认为不可信”（概率风险分析技术的发展和三哩岛事故（概率风险分析技术的发展和三哩岛事故将改变一些基本认识，后续讨论）。将改变一些基本认识，后续讨论）。 可信事故构成了“设计基准事故”概念可信事故构成了“设计基准事故”概念和“确定论安全要求”的重要基础，可信和“确定论安全要求”的重要基础，可信事故和工程安全设施概念的采用才使核电事故和工程安全设施概念的采用才使核电的建设成为可能。的建设成为可能。 对轻水堆核电厂，由于认为对轻水堆核电厂，由于认为 LBLOCALBLOCA（大破口失水事故）导致的后果最严（大破口失水事故）导致的后果最严重，重， LBLOCALBLOCA 成为所谓“最大可信事成为所谓“最大可信事故”。故”。

6.6. 选址源项选址源项 -TID-14844-TID-14844 建设核电还有其他需要确定的问题，建设核电还有其他需要确定的问题，如事故工况下的放射性源项。如事故工况下的放射性源项。 19621962 年，年，AECAEC 发表了针对轻水堆的源项报告发表了针对轻水堆的源项报告TID-14844TID-14844，，假设在事故工况下堆芯假设在事故工况下堆芯100%100% 的惰性气体、的惰性气体、 50%50% 的放射性碘，的放射性碘，以及以及 1%1% 的其他放射性产物进入安全壳，的其他放射性产物进入安全壳，而而 50%50% 的放射性碘因为沉积等原因去的放射性碘因为沉积等原因去掉掉 50%50% ，按，按 0.1%0.1% 安全壳体积泄漏率安全壳体积泄漏率释放，用以评价核电厂址的适宜性。释放，用以评价核电厂址的适宜性。

7.7. 中国综合症中国综合症 -- 应急堆芯冷却系统应急堆芯冷却系统 19601960 年代中期，核电开始向大型化方年代中期，核电开始向大型化方向发展向发展，这时，这时 ACRSACRS 开始质疑，开始质疑，即即在堆在堆芯熔化后，安全壳能否真正起到包容作用。芯熔化后，安全壳能否真正起到包容作用。一个关心的焦点是堆芯熔融物可能熔穿安一个关心的焦点是堆芯熔融物可能熔穿安全壳底板。由于开玩笑地说最终会熔穿地全壳底板。由于开玩笑地说最终会熔穿地球从而到达中国，这种现象又被称为球从而到达中国，这种现象又被称为““中中国综合症国综合症””。。 为了避免中国综合症，需要避免堆芯熔为了避免中国综合症，需要避免堆芯熔化，所以应急堆芯冷却系统非常重要化，所以应急堆芯冷却系统非常重要。。

大量的试验研究被开展，其中最著名大量的试验研究被开展，其中最著名的是的是““ LOFTLOFT””（（ loss of fluid tesloss of fluid testt ），即对），即对 LOCALOCA 事故下堆芯冷却剂丧事故下堆芯冷却剂丧失工况开展试验研究，研究的结果被用失工况开展试验研究，研究的结果被用于改进应急堆芯冷却系统的设计。于改进应急堆芯冷却系统的设计。 为了进一步改进应急堆芯冷却系统的为了进一步改进应急堆芯冷却系统的可靠性，可靠性， 19671967 年，在德累斯顿年，在德累斯顿 22 号机号机的应急堆芯冷却系统上采用了冗余设计。的应急堆芯冷却系统上采用了冗余设计。这种做法最后被发展为确定论安全要求这种做法最后被发展为确定论安全要求中著名的中著名的““单一故障准则单一故障准则””。。

8.8. 冗余冗余 -- 单一故障准则的形成单一故障准则的形成 19619677 年代，在德累司顿年代，在德累司顿 22 号机组堆号机组堆芯应急冷却系统的中，为了提高可靠性，芯应急冷却系统的中，为了提高可靠性，参考航空航天业的做法，采用了系统冗参考航空航天业的做法，采用了系统冗余设计余设计。。 19711971 年，单一故障准则被纳年，单一故障准则被纳入联邦法规。入联邦法规。 SBOSBO和和 ATWSATWS 事故表明，单一故障准事故表明，单一故障准则的要求并不平衡，但由于其简明性、则的要求并不平衡，但由于其简明性、可操作性、经济可接受性，目前仍然是可操作性、经济可接受性，目前仍然是确定论安全要求的一个重要准则。但近确定论安全要求的一个重要准则。但近些年美国正在考虑对其进行风险导向基些年美国正在考虑对其进行风险导向基础上的修改础上的修改。。

9.9.质量分组质量分组 -- 质量保证要求质量保证要求 19601960 年代末期，年代末期， ACRSACRS 在勃朗在勃朗费费里核电厂的听证中，开始关注安全系统里核电厂的听证中，开始关注安全系统的可靠性和质量问题。为此的可靠性和质量问题。为此 AECAEC 借鉴借鉴美国军方在核武器研发过程中的经验，美国军方在核武器研发过程中的经验，提出对安全系统和设备的“质量保证”提出对安全系统和设备的“质量保证”要求，要求核电厂要对安全构筑物和系要求，要求核电厂要对安全构筑物和系统进行统进行“ ”质量分组 。“ ”质量分组 。 19701970 年，质量保年，质量保证条款被正式列入联邦法规。证条款被正式列入联邦法规。 ASMEASME也制订了相关的“安全级”设备标准以也制订了相关的“安全级”设备标准以满足“质量分组”要求。满足“质量分组”要求。

10.10.GDC-GDC- 确定论安全要求的形成确定论安全要求的形成 19711971 年代，美国联邦法规年代，美国联邦法规 10CFR50 10CFR50 APPENDIX AAPPENDIX A 正式颁布。正式颁布。 APPENDIX APPENDIX AA 确立了确立了 5858个个 GDC (general GDC (general design criterion)design criterion) ，这标志着，这标志着““确定确定论安全要求论安全要求””基本形成。基本形成。 安全要求演化到此时，人们的认识是堆芯 安全要求演化到此时，人们的认识是堆芯熔化的事故已经不可能发生，或着说不可熔化的事故已经不可能发生，或着说不可信，直到三哩岛事故才开始改变认识。 信，直到三哩岛事故才开始改变认识。

11.11.WASH-1400-WASH-1400- 概率风险评价的奠基概率风险评价的奠基石石 19741974 年，年， AECAEC 发表了发表了 WASH1400WASH1400““ 反应堆安全研究反应堆安全研究””。。WASH1400WASH1400 率先率先全面使用概率风险评价（全面使用概率风险评价（ PRAPRA ）方法来研）方法来研究核电厂的安全，其主要结论包括核电厂究核电厂的安全，其主要结论包括核电厂的风险主要来自于严重事故的剩余风险，的风险主要来自于严重事故的剩余风险，多重故障可能导致堆芯熔化，小破口事故多重故障可能导致堆芯熔化，小破口事故可能风险更大等。可能风险更大等。 由于概率风险评价方法与确定论安全要由于概率风险评价方法与确定论安全要求有着很大差异，且其本身存在着不确定求有着很大差异，且其本身存在着不确定性（其实确定论安全要求也存在很大不确性（其实确定论安全要求也存在很大不确

定性），因而定性），因而 WASH-1400WASH-1400 引起了很大引起了很大的争议，后续成立的的争议，后续成立的 NRCNRC （核管会）被（核管会）被迫宣布收回迫宣布收回WASH-1400WASH-1400 报告。报告。 但概率风险评价方法为观察核安全问题但概率风险评价方法为观察核安全问题提供了一个全新的、系统的和更全面的视提供了一个全新的、系统的和更全面的视角，时至今日产生了广泛、深刻的影响。角，时至今日产生了广泛、深刻的影响。

12.12.AECAEC 的解体的解体 -- 核安全监管的独立性核安全监管的独立性 LOFTLOFT 试验的结果表明，早期核电厂应试验的结果表明，早期核电厂应急堆芯冷却系统的注入水可能被破口大量急堆芯冷却系统的注入水可能被破口大量旁路，以至于堆芯不能得到足够的冷却。旁路，以至于堆芯不能得到足够的冷却。 这个结果使这个结果使 AECAEC 陷入困境，因为已有数陷入困境，因为已有数十个核电机组建成或在建。十个核电机组建成或在建。 AECAEC 质疑试质疑试验结果验结果的的合理性合理性，要求将结果保密，但结，要求将结果保密，但结果还是被泄漏，果还是被泄漏， AECAEC丧失了社会公信力。丧失了社会公信力。 19741974 年，美国通过“能源重组法”将年，美国通过“能源重组法”将AECAEC 分解为分解为 ERDAERDA （今（今 DOEDOE ）和）和 NRCNRC 。。

13.13. 三哩岛事故三哩岛事故 -- 严重事故是可信的严重事故是可信的 19791979 年，美国宾西法尼亚州的三哩岛年，美国宾西法尼亚州的三哩岛核电厂发生了严重事故，事故导致了约核电厂发生了严重事故，事故导致了约2/32/3 的堆芯熔毁。虽然三哩岛事故并没有的堆芯熔毁。虽然三哩岛事故并没有导致导致““可察觉的厂外影响可察觉的厂外影响””，但三哩岛事，但三哩岛事故严重冲击了以往的信念，即堆芯熔化事故严重冲击了以往的信念，即堆芯熔化事故是不可能发生的。故是不可能发生的。 三哩岛事故后，安全研究的重点集中在三哩岛事故后，安全研究的重点集中在SBLOCASBLOCA （小破口失水事故）、人因、（小破口失水事故）、人因、规程等方面，特别是核电厂严重事故的研规程等方面，特别是核电厂严重事故的研究。究。

由于由于 WASH1400WASH1400 中曾经预言了与三中曾经预言了与三哩岛事故相类似的事故序列，特别是作为哩岛事故相类似的事故序列，特别是作为严重事故研究必不可少的工具，严重事故研究必不可少的工具， PRAPRA 技技术再次得到高度重视。美国在三哩岛事故术再次得到高度重视。美国在三哩岛事故后开展了三哩岛行动计后开展了三哩岛行动计划、划、 IPEIPE（（ independent plant independent plant evaluationevaluation ）和）和 IPEEEIPEEE（（ IPE for IPE for external eventsexternal events 计划），为了支持计划），为了支持IPEIPE 计划的开展，美国计划的开展，美国 NRCNRC 发表了发表了NUREG-1150NUREG-1150 报告，选取了报告，选取了 55 个典型个典型核电厂完成了核电厂完成了 PRAPRA 。这个报告成为。这个报告成为PRAPRA 的经典报告，也为许多安全要求的的经典报告，也为许多安全要求的制订提供了基础。制订提供了基础。

14.14.ATWSATWS和和 SBO-SBO- 确定论安全要求的确定论安全要求的困境困境 19801980 年代，由于发生了若干起控制棒年代，由于发生了若干起控制棒下落故障，人们开始研究下落故障，人们开始研究 ATWSATWS （未能（未能紧急停堆的预期瞬态）问题。紧急停堆的预期瞬态）问题。 ATWSATWS 表表明，即使保护系统满足了安全分级、冗余明，即使保护系统满足了安全分级、冗余的要求，其可靠性仍然不足。的要求，其可靠性仍然不足。 ATWSATWS 发发生的频率约生的频率约每每堆年堆年 1010-4-4 ，大大高于设计，大大高于设计基准事故发生频率的下限，但由于设计基基准事故发生频率的下限，但由于设计基准事故基于单一设备失效的考虑，特别是准事故基于单一设备失效的考虑，特别是为避免核电厂设计的极端复杂化，对为避免核电厂设计的极端复杂化，对ATWSATWS 的缓解的缓解提出了变通的要求。提出了变通的要求。

SBOSBO （丧失全部交流电源）（丧失全部交流电源）的情况也的情况也类似。如果将类似。如果将 SBOSBO划为设计基准事故，划为设计基准事故，按照确定论安全要求的保守处理，则需设按照确定论安全要求的保守处理，则需设置额外的安全级、冗余的应急电源。置额外的安全级、冗余的应急电源。 这些事例表明，确定论安全要求存在内这些事例表明，确定论安全要求存在内在的逻辑缺陷和不自恰，但是改变确定论在的逻辑缺陷和不自恰，但是改变确定论安全要求又存在极大的困难和挑战。安全要求又存在极大的困难和挑战。 确定论安全要求为主，概率论方法做补确定论安全要求为主，概率论方法做补充的思想是这一段时间所产生的。充的思想是这一段时间所产生的。

15.15.切尔诺贝利事故切尔诺贝利事故 -- 安全文化的诞生安全文化的诞生 19861986 年，前苏联切尔诺贝利核电厂发年，前苏联切尔诺贝利核电厂发生了严重事故，事故导致极其严重的环境生了严重事故，事故导致极其严重的环境和人员后果。和人员后果。 IAEAIAEA 专家组在调查切尔诺专家组在调查切尔诺贝利核电厂事故原因时，认为前苏联从体贝利核电厂事故原因时，认为前苏联从体制层面到人员观念上存在着极大的欠缺，制层面到人员观念上存在着极大的欠缺，这种体制和人员观念的欠缺被委婉地称之这种体制和人员观念的欠缺被委婉地称之为缺乏“安全文化为缺乏“安全文化”” 。 。 19881988 年，年， IAEAIAEA在在 75-INSAG-375-INSAG-3 《《核电安全的基本原核电安全的基本原则则》》中明确提出了中明确提出了““安全文化安全文化””的概念。的概念。

16.16.安全目标安全目标 -- 多安全是足够的？多安全是足够的？ 三哩岛事故表明，由于不存在绝对安全，三哩岛事故表明，由于不存在绝对安全，期望使用一种期望使用一种““确定的确定的””表述方法向人们表表述方法向人们表达核电厂的安全水平最终会陷入困境。对于达核电厂的安全水平最终会陷入困境。对于政府、核电建设者以及公众，都需要一种合政府、核电建设者以及公众，都需要一种合理的度量，为核电厂确定一个可接受的安全理的度量，为核电厂确定一个可接受的安全水平。水平。 19861986 年，年， NRCNRC 发表了有关安全目发表了有关安全目标的政策声明，确定了两个标的政策声明，确定了两个““千分之一千分之一””附附加风险的定量安全目标，用以衡量可接受的加风险的定量安全目标，用以衡量可接受的安全水平安全水平（（风险）风险），而所谓，而所谓““熔堆频熔堆频率率””、、““大规模放射性释放频率大规模放射性释放频率””成为辅助指成为辅助指导值。导值。

美国的定量安全目标美国的定量安全目标 ··对紧邻核电厂的正常个体成对紧邻核电厂的正常个体成员来说，由于反应堆事故所导致立员来说，由于反应堆事故所导致立即死亡的风险不应该超过美国社会即死亡的风险不应该超过美国社会成员所面对的其它事故所导致的立成员所面对的其它事故所导致的立即死亡风险总和的千分之一；即死亡风险总和的千分之一； ··对核电厂邻近区域的人口来对核电厂邻近区域的人口来说，由于核电厂运行所导致的癌症说，由于核电厂运行所导致的癌症死亡风险不应该超过其它原因所导死亡风险不应该超过其它原因所导致癌症死亡风险总和的千分之一。致癌症死亡风险总和的千分之一。

17.17.PRAPRA 技术政策技术政策 -- 从风险的角度看问题从风险的角度看问题 19951995 年，年， NRCNRC 发表了有关在核安全监发表了有关在核安全监管中更多使用管中更多使用 PRAPRA 的政策声明，鼓励在核的政策声明，鼓励在核安全事物中更多地采用安全事物中更多地采用 PRAPRA 技术，技术， 19901990年代末，年代末， NRCNRC 发布了发布了 RG1.174RG1.174～～1.1781.178 ，对风险准则、在役检查、质量保，对风险准则、在役检查、质量保证、维修、在役试验、技术规格书等方面证、维修、在役试验、技术规格书等方面使用使用 PRAPRA 技术给出指导。目前技术给出指导。目前 NRCNRC 正致正致力于建立力于建立 performance-based and performance-based and risk-informedrisk-informed 的核安全法规体系。从风的核安全法规体系。从风险的角度看问题将引起核安全理念和管理险的角度看问题将引起核安全理念和管理模式的巨大改变模式的巨大改变。。

18.18. 福岛核事故福岛核事故 -- 再一次需要转变？再一次需要转变？ 外部事件导致的严重事故 外部事件导致的严重事故、、事故对环境事故对环境影响的可接受程度、影响的可接受程度、………………？？ 19.19. 研究性反应堆研究性反应堆 巨大的设计差异、简单粗略的法规和标 巨大的设计差异、简单粗略的法规和标准、 准、 ……… ……… 。。 如何合理地确定具体安全要求？ 如何合理地确定具体安全要求？ 概率风险分析技术是否应起到更大的作概率风险分析技术是否应起到更大的作用？用？

三、确定论核安全要求三、确定论核安全要求 1.1.什么是确定论安全要求什么是确定论安全要求 “确定论安全要求”是英 “确定论安全要求”是英文“文“ Deterministic approach”Deterministic approach” 或或““ Deterministic requirements”Deterministic requirements”的翻译。这个翻译容易引起误导，更准确的翻译。这个翻译容易引起误导，更准确的译法应该是“已确定的安全要求”。的译法应该是“已确定的安全要求”。 确定论安全要求是以纵深防御概念为基 确定论安全要求是以纵深防御概念为基础，以保证三项基本安全功能为目的，针础，以保证三项基本安全功能为目的，针对一套确定的设计基准工况，采用保守的对一套确定的设计基准工况，采用保守的假设和分析方法，以确认满足特定验收准假设和分析方法，以确认满足特定验收准

则的一套方法。则的一套方法。 2.2. 纵深防御概念纵深防御概念 纵深防御概念是核电厂安全所遵循的基纵深防御概念是核电厂安全所遵循的基本核安全理念，它的基本点就是使核电厂本核安全理念，它的基本点就是使核电厂中所有与安全有关的事项都置于多重防御中所有与安全有关的事项都置于多重防御措施之下，即使一道措施失效，还有另外措施之下，即使一道措施失效，还有另外的措施来补偿。纵深防御概念一个最广为的措施来补偿。纵深防御概念一个最广为人知的应用是多道屏障。人知的应用是多道屏障。 目前核电厂总体上通常设置五道纵深防 目前核电厂总体上通常设置五道纵深防御的层次：御的层次：

（（ 11 ）第一个层次是采用保守的设计、）第一个层次是采用保守的设计、可靠的质量和严格的运行来预防偏离正常可靠的质量和严格的运行来预防偏离正常运行和预防系统失效；运行和预防系统失效； （ （ 22 ）第二个层次是设置必要的监测系）第二个层次是设置必要的监测系统和保护系统来纠正可能的偏离正常运行；统和保护系统来纠正可能的偏离正常运行； （ （ 33 ）第三个层次是设置必要的工程安）第三个层次是设置必要的工程安全设施和事故规程来对付可能性极低，但全设施和事故规程来对付可能性极低，但假想会发生的设计基准事故；假想会发生的设计基准事故； （ （ 44 ）第四个层次是采用合理可行的措）第四个层次是采用合理可行的措施，包括必要的硬件和软件来对付超设计施，包括必要的硬件和软件来对付超设计

基准事故，以进一步提高核电厂的安全基准事故，以进一步提高核电厂的安全水平水平；； （ （ 55 ）第五个层次，也是最后一个层）第五个层次，也是最后一个层次是采用应急计划来对工作人员和公众次是采用应急计划来对工作人员和公众提供最后的保护。提供最后的保护。

如前所述，纵深防御概念是美国在核安全如前所述，纵深防御概念是美国在核安全的实践中所建立的，被国际上广泛接受的，的实践中所建立的，被国际上广泛接受的，被证明行之有效的核安全理念。美国三哩岛被证明行之有效的核安全理念。美国三哩岛核电厂在严重堆芯熔化的情况下，厂外后果核电厂在严重堆芯熔化的情况下，厂外后果微乎其微，没有发现对公众健康的实际影响，微乎其微，没有发现对公众健康的实际影响，证明了纵深防御概念的有效性。反之，前苏证明了纵深防御概念的有效性。反之，前苏联长期脱离国际核安全的主流理念，在核电联长期脱离国际核安全的主流理念，在核电厂中没有有效地贯彻纵深防御概念，切尔诺厂中没有有效地贯彻纵深防御概念，切尔诺贝利核电厂事故则造成了惨重的人员和环境贝利核电厂事故则造成了惨重的人员和环境后果。后果。

由于纵深防御概念已被广泛接受，并在实由于纵深防御概念已被广泛接受，并在实践中证明行之有效，所以近些年来美国在发践中证明行之有效，所以近些年来美国在发展展 Risk-informed and performance-Risk-informed and performance-basedbased 的管理要求时，仍然提出要维持纵的管理要求时，仍然提出要维持纵深防御原则，当然从深防御原则，当然从 PRAPRA 的观点看，对某的观点看，对某些纵深防御具体措施的解释可能会产生一些些纵深防御具体措施的解释可能会产生一些变化。变化。 3.3. 三项基本安全功能三项基本安全功能 反应堆堆芯的热量来自于裂变元素的核裂变 反应堆堆芯的热量来自于裂变元素的核裂变反应，核裂变反应的同时会放出射线，同时反应，核裂变反应的同时会放出射线，同时产生裂变产物。产生裂变产物。

核裂变反应同时放出的射线采用屏蔽措施核裂变反应同时放出的射线采用屏蔽措施可以得到比较好的防护，但裂变产物的衰变可以得到比较好的防护，但裂变产物的衰变所放出的射线和衰变热（所放出的射线和衰变热（～～余热）却是麻烦余热）却是麻烦的主要来源。在裂变反应停止后，衰变热还的主要来源。在裂变反应停止后，衰变热还会长期的释放，如果不能将其导出，则衰变会长期的释放，如果不能将其导出，则衰变热的积累最终会破坏各道放射性屏障，从而热的积累最终会破坏各道放射性屏障，从而导致裂变产物（即放射性物质）向环境的大导致裂变产物（即放射性物质）向环境的大规模释放，危害人员和环境。规模释放，危害人员和环境。 从一个核电厂的角度看，只要能够按要求及 从一个核电厂的角度看，只要能够按要求及时地停闭反应堆、排出余热并且保证至少一时地停闭反应堆、排出余热并且保证至少一道放射性屏障的完整，安全就有保证。道放射性屏障的完整，安全就有保证。

因而，反应性控制、余热排出、包容放射因而，反应性控制、余热排出、包容放射性通常被称为三项基本安全功能，而保证这性通常被称为三项基本安全功能，而保证这三项基本安全功能的系统和设备需要采用多三项基本安全功能的系统和设备需要采用多重性、多样性、独立性和安全级设备等方式重性、多样性、独立性和安全级设备等方式等来保证其高度的可靠性。其实反应性控制等来保证其高度的可靠性。其实反应性控制和余热排出的最终目的也是为了保证屏障的和余热排出的最终目的也是为了保证屏障的完整性，而实现可靠的余热排出是保证核安完整性，而实现可靠的余热排出是保证核安全的主要因素，核电厂的大部分安全系统都全的主要因素，核电厂的大部分安全系统都是围绕余热排出设计的。是围绕余热排出设计的。

4.4. 设计基准工况设计基准工况 前面已经从核安全发展的历史角度介绍了 前面已经从核安全发展的历史角度介绍了设计基准工况的来源，下面对其做一个更设计基准工况的来源，下面对其做一个更详细的介绍。详细的介绍。 所谓设计基准工况，就是在设计中必须考 所谓设计基准工况，就是在设计中必须考虑措施加以应对的事件。为了保证高度的虑措施加以应对的事件。为了保证高度的安全性，核电厂除了必须考虑正常的发电安全性，核电厂除了必须考虑正常的发电功能外，还必须考虑发生概率极低，实践功能外，还必须考虑发生概率极低，实践中可能并未出现过，但在理论上预测或推中可能并未出现过，但在理论上预测或推测出的一些事故或事件。测出的一些事故或事件。

在核电厂设计时，要仔细评估核电厂可在核电厂设计时，要仔细评估核电厂可能发生的一些故障或事件，包括内部和外能发生的一些故障或事件，包括内部和外部的事件，然后根据其可能发生的频率将部的事件，然后根据其可能发生的频率将其分类，选取包络性的作为设计中加以分其分类，选取包络性的作为设计中加以分析和评价的工况，则形成设计基准工况析和评价的工况，则形成设计基准工况（但事故分析主要针对内部事件）。（但事故分析主要针对内部事件）。 对轻水堆核电厂，一种设计基准工况的 对轻水堆核电厂，一种设计基准工况的划分方式为：划分方式为： （ （ 11 ）正常运行（）正常运行（ 101000 ～ ～ 1010-1-1//堆堆年）；年）；

（（ 22 ）预计运行事件（）预计运行事件（ 101000 ～ ～ 1010-2 -2 //堆堆年）；年）； （ （ 33 ）稀有事故（）稀有事故（ 1010-2 -2 ～ ～ 1010-4 -4 //堆年）；堆年）； （ （ 44 ）极限事故（）极限事故（ 1010-4-4 ～ ～ 1010-6 -6 //堆年）。堆年）。 其中（ 其中（ 33 ）和（）和（ 44 ）类又称为设计基准事）类又称为设计基准事故。前面已经提到，由于设计基准事故是从故。前面已经提到，由于设计基准事故是从可信事故发展而来，所以其特点是主要考虑可信事故发展而来，所以其特点是主要考虑单一失效，如某个管道的破裂、泵的卡死等单一失效，如某个管道的破裂、泵的卡死等等。等。 设计基准事故的另一个叫法是“假想事 设计基准事故的另一个叫法是“假想事故”。而预计运行事件加设计基准事故又称故”。而预计运行事件加设计基准事故又称为“假设始发事件”。为“假设始发事件”。 对于压水堆和沸水堆核电厂，长期以来 对于压水堆和沸水堆核电厂，长期以来

已经形成了一套“标准”的设计基准事故已经形成了一套“标准”的设计基准事故清单，后续电厂多简单加以参照，而并不清单，后续电厂多简单加以参照，而并不再从头进行分析。再从头进行分析。 5.5. 保守假设和分析方法保守假设和分析方法 在确定了设计基准工况后，需要对预计 在确定了设计基准工况后，需要对预计运行事件和设计基准事故进行分析和评价，运行事件和设计基准事故进行分析和评价，以确定其安全影响。在评价时，要采用一以确定其安全影响。在评价时，要采用一套保守的假设，如事件和事故的初始状态套保守的假设，如事件和事故的初始状态应选取对后果最不利的参数、只考虑安全应选取对后果最不利的参数、只考虑安全级系统和设备对缓解事故的作用、非安全级系统和设备对缓解事故的作用、非安全级系统只能考虑对安全的不利作用而级系统只能考虑对安全的不利作用而

不能考虑有利作用、要考虑事故发生时不能考虑有利作用、要考虑事故发生时同时丧失了厂外电源、最大价值控制棒同时丧失了厂外电源、最大价值控制棒卡棒等，同时在缓解事故的安全系统和卡棒等，同时在缓解事故的安全系统和设备中还要假设发生了单一随机故障设备中还要假设发生了单一随机故障（即著名的单一故障准则）。（即著名的单一故障准则）。 对于分析和评价所使用的计算机程序， 对于分析和评价所使用的计算机程序，一般都要得到良好验证，并得到核安全一般都要得到良好验证，并得到核安全监管当局的认可。监管当局的认可。

6.6. 验收准则验收准则 评价各个设计基准工况能否满足安全要求 评价各个设计基准工况能否满足安全要求的判据是验收准则。从风险的概念出发，为的判据是验收准则。从风险的概念出发，为各个运行工况确定了所必须满足的放射性释各个运行工况确定了所必须满足的放射性释放准则，发生频率高的工况放射性释放必须放准则，发生频率高的工况放射性释放必须小，而发生频率很低的事件或事故则放射性小，而发生频率很低的事件或事故则放射性后果可以允许大一些。后果可以允许大一些。 由于针对每个事故都分析放射性后果通常 由于针对每个事故都分析放射性后果通常很复杂，所以还确立了一些次级准则，如针很复杂，所以还确立了一些次级准则，如针对预计运行事件的对预计运行事件的 DNBRDNBR 准则等。次级准准则等。次级准则中又包含了一些保守假设，通常满足次级则中又包含了一些保守假设，通常满足次级准则则能保证满足放射性准则。准则则能保证满足放射性准则。

7.7. 关于确定论安全方法的地位关于确定论安全方法的地位 现有的大多数核电厂都是按照确定论的安 现有的大多数核电厂都是按照确定论的安全要求设计的，确定论安全要求对于保证大全要求设计的，确定论安全要求对于保证大量核电厂多年的安全运行起到了重要作用。量核电厂多年的安全运行起到了重要作用。 在承认确定论安全方法的重要作用时，也 在承认确定论安全方法的重要作用时，也要避免将确定论安全方法“神圣化”的倾向。要避免将确定论安全方法“神圣化”的倾向。实际上，确定论安全要求是在早期“有限的实际上，确定论安全要求是在早期“有限的试验、经验和知识”（试验、经验和知识”（ NRCNRC 语）的基础上语）的基础上建立的，是在应对已发现和新发现问题的过建立的，是在应对已发现和新发现问题的过程中逐步“堆砌”起来的。用今天的眼光看，程中逐步“堆砌”起来的。用今天的眼光看，其也存在许多不合理之处。其也存在许多不合理之处。

四、概率论安全方法简介四、概率论安全方法简介 概率论安全方法即众所周知的概率风险分概率论安全方法即众所周知的概率风险分析（析（ PRAPRA ，美国习惯性的叫法）或概率安，美国习惯性的叫法）或概率安全分析（全分析（ PSAPSA，， IAEAIAEA习惯的用法），它习惯的用法），它是一套系统性地研究核设施安全问题的方法。是一套系统性地研究核设施安全问题的方法。 概率风险分析最常用的方法是事件数和故概率风险分析最常用的方法是事件数和故障树方法。事件树是从已分析到或发现的核障树方法。事件树是从已分析到或发现的核设施每个可能的失效（通常称为始发事件）设施每个可能的失效（通常称为始发事件）开始，分析事故的各种可能的进程，找到所开始，分析事故的各种可能的进程，找到所有可能导致某种后果（如堆芯严重损坏）的有可能导致某种后果（如堆芯严重损坏）的事故途径的一种事故景象模型化的方法。事故途径的一种事故景象模型化的方法。

而故障树则将某个系统或设备的失效而故障树则将某个系统或设备的失效作为顶事件，通过分析各个设备、子设作为顶事件，通过分析各个设备、子设备或部件与系统或设备失效的逻辑关系，备或部件与系统或设备失效的逻辑关系，将系统或设备的失效模式模型化，进而将系统或设备的失效模式模型化，进而可计算出系统或设备执行某项功能的可可计算出系统或设备执行某项功能的可靠度（或失效概率）。靠度（或失效概率）。 通过概率风险分析，可以定量地评估出 通过概率风险分析，可以定量地评估出一个核设施出现某种不期望后果（如堆一个核设施出现某种不期望后果（如堆芯严重损坏、大规模放射性释放、对居芯严重损坏、大规模放射性释放、对居民的放射性影响等）的概率，从而将民的放射性影响等）的概率，从而将

风险定量化。将核设施的风险定量化后，风险定量化。将核设施的风险定量化后，就便于与其它社会风险（如火电厂、水库就便于与其它社会风险（如火电厂、水库大坝等）进行比较，从而明确地告知公众大坝等）进行比较，从而明确地告知公众有关的风险信息，促进核电的社会可接受有关的风险信息，促进核电的社会可接受性。性。 其实从概率的角度考虑问题是一种根本其实从概率的角度考虑问题是一种根本的科学观点，问题出现于将某件事情模型的科学观点，问题出现于将某件事情模型化过程中可能存在的困难以及对结果的置化过程中可能存在的困难以及对结果的置信程度，特别是对复杂系统而言。信程度，特别是对复杂系统而言。 近些年来，随着近些年来，随着 PRAPRA 技术的发展和数据技术的发展和数据积累的增加，积累的增加， PRAPRA 技术应用越来越广，技术应用越来越广，特别是在美国。特别是在美国。

一个典型的事件树一个典型的事件树反应堆冷却剂系统大破口 安注箱投入 安全壳喷淋投入

低压安注直接注入低压安注再循环注入

事件序列后果 堆芯严重损坏频率

Y

N

Y

N

Y

N

Y

NCD

CD

CD

CD

1.0310-9

7.6010-9

3.3410-85.0810-7

CD： core damage

一个典型的故障树

泵

阀门 A

阀门B

阀门 C

到阀门 C 的流量不够与

或阀门 C 未打开

从阀门 A 来的流量不够 从阀门 B 来的流量不够或 或阀门 A未打开 从泵来的流量不够 阀门 B 未打开 从泵来的流量不够

阀门 C 输出的流量不够

总 结 考察一个安全问题时，需要关注三个方面： （ 1 ）什么可能发生？ （ 2 ）它发生的可能性有多大？ （ 3 ）它的后果是什么？ 确定论安全方法解决了（ 1 ）和（ 3 ），而 PRA技术的发展使我们也能考察（ 2 ）。只有三个方面的问题都解决了，我们才能够回答一件事情的风险问题，或者对一件事情的风险给出合理的度量。

““ 在生产斗争和科学实验范围在生产斗争和科学实验范围内，人类总是不断发展的，自然内，人类总是不断发展的，自然界也总是不断发展的，永远不会界也总是不断发展的，永远不会停止在一个水平上。因此人类总停止在一个水平上。因此人类总得不断总结经验，有所发明，有得不断总结经验，有所发明，有所创造，有所前进。”所创造，有所前进。” — — 毛泽东毛泽东《《人的正确人的正确 思想是从那里来的？ 思想是从那里来的？》》